Ransomware

Kiop Rançongiciel est un autre représentant de STOP/Djvu virus, qui tourmente les utilisateurs depuis 2017. Cette version particulière est sortie début avril 2023 et ajoute .kiop extension à tous les fichiers cryptés, comme on peut le voir à partir de son nom. En dehors de cela, il s'agit du même virus de chiffrement de fichiers et exigeant une rançon que des centaines de ses prédécesseurs. Les rançongiciels de ce type utilisent la même cryptographie, qui est malheureusement toujours indéchiffrable. Kiop Ransomware, comme d'autres variantes de STOP/Djvu Ransomware, utilise généralement une combinaison d'algorithmes de chiffrement symétriques et asymétriques pour chiffrer les fichiers de la victime. Plus précisément, le ransomware utilise le cryptage AES-256 pour crypter les fichiers de la victime de manière symétrique, puis utilise le cryptage RSA-2048 pour crypter la clé de cryptage AES de manière asymétrique. Cela signifie que l'attaquant détient la clé RSA privée nécessaire pour décrypter la clé de cryptage AES, et peut donc décrypter les fichiers de la victime après avoir reçu le paiement. Les seules choses qui ont changé au cours des dernières années sont les extensions et les adresses e-mail de contact. Le nom de la demande de rançon reste inchangé (_readme.txt) et vous pouvez vérifier le contenu dans la zone de texte ci-dessous.

Skylock est une nouvelle variante de ransomware issue de la famille MedusaLocker. En cas d'infiltration réussie, le virus crypte l'accès aux fichiers (basé sur la cryptographie AES et RSA) et attribue le .skylock extension à eux. Par exemple, un fichier comme 1.pdf va changer pour 1.pdf après un cryptage réussi. Pour réparer les dégâts et restituer les données bloquées, les cybercriminels présentent des instructions de décryptage à l'intérieur du How_to_back_files.html déposer. En général, les victimes sont informées qu'elles doivent acheter un logiciel de décryptage spécial auprès des cybercriminels à l'origine de l'infection. Pour ce faire, ils doivent établir un contact avec les extorqueurs en utilisant l'un des canaux de communication (soit via le lien dans le navigateur TOR, soit via les adresses e-mail fournies). Il est également dit que les victimes peuvent envoyer 2 à 3 fichiers qui ne contiennent aucune information importante et les récupérer décryptés gratuitement. Il s'agit de prouver que les pirates sont réellement capables de décrypter les fichiers. Si les victimes refusent d'entrer en contact avec les extorqueurs et de payer pour le décryptage, leurs données seront divulguées aux ressources publiques, ce qui peut porter atteinte à la réputation de l'entreprise ou de l'identité personnelle des utilisateurs. Malheureusement, malgré le fait que le décryptage peut être inabordable ou inutile pour certains utilisateurs, les cybercriminels sont généralement les seuls à pouvoir décrypter l'accès aux données.

Si vos fichiers sont devenus indisponibles, illisibles et .kiwm extensions cela signifie que votre ordinateur est infecté par Kiwm Ransomware (variation de STOP Ransomware ou comme il est, parfois, appelé DjVu Ransomware). Il s'agit d'un programme malveillant qui appartient au groupe des virus rançongiciels. Cette version particulière a été publiée début avril 2023. Ce virus peut infecter presque toutes les versions modernes des systèmes d'exploitation de la famille Windows, y compris Windows 7, Windows 8, Windows 10 et le dernier Windows 11. Le malware utilise un cryptage hybride. mode et une longue clé RSA, ce qui élimine pratiquement la possibilité de sélectionner une clé pour les fichiers d'auto-déchiffrement. Comme d'autres virus similaires, l'objectif de Kiwm Ransomware est de forcer les utilisateurs à acheter le programme et la clé nécessaires pour décrypter les fichiers qui ont été cryptés. La version, qui fait l'objet de recherches aujourd'hui, est presque identique aux précédentes, à l'exception des nouveaux e-mails utilisés pour contacter les malfaiteurs et des nouvelles extensions ajoutées.

Kitz Rançongiciel (appartient à la famille de STOP Ransomware or Djvu Ransomware) est un virus de cryptage de fichiers à haut risque, qui affecte les systèmes Windows. Début avril 2023, la nouvelle génération de ce malware a commencé à encoder des fichiers en utilisant .kitz extensions. Le virus cible les types de fichiers importants et précieux tels que les photos, les documents, les vidéos, les archives, les fichiers cryptés deviennent inutilisables. Ransomware met _readme.txt fichier, appelé "note de rançon" ou "note demandant une rançon" sur le bureau et dans les dossiers contenant des fichiers cryptés. Les développeurs utilisent les e-mails suivants pour le contact : support@freshmail.top ainsi que datarestorehelp@airmail.cc. Les pirates demandent 980$ pour le décryptage de vos fichiers (le message indique que les victimes bénéficieront d'une réduction de 50% si elles contactent les cybercriminels dans les 72 heures suivant le cryptage). Selon de nombreux rapports, les malfaiteurs ne répondent souvent pas aux victimes lorsqu'elles reçoivent une rançon. Nous vous déconseillons fortement de verser de l'argent. Les fichiers cryptés par certaines versions de Kitz Ransomware peuvent être décryptés à l'aide de STOP Djvu Decryptor.

BlackByteNT est une infection ransomware récemment découverte. Une fois le système infiltré, tous les types de fichiers potentiellement importants deviendront inaccessibles en raison du cryptage à part entière. En plus de crypter l'accès aux données, le crypteur de fichiers remplace également les noms de fichiers d'origine par une chaîne de caractères aléatoire et le .blackbytent rallonge à la fin. Par exemple, un fichier comme 1.pdf va changer pour quelque chose comme dnoJJlc=.blackbytent et perdre également son icône d'origine. La dernière partie importante du ransomware est BB_Readme_[random_string].txt⁣ - une note de rançon contenant des directives de décryptage. Les cybercriminels affirment que les données ont été cryptées et exfiltrées vers leurs serveurs. Afin de rendre l'accès et d'empêcher la fuite de données, les victimes sont invitées à coopérer avec les extorqueurs et à suivre les informations présentées via le lien TOR fourni dans la note. Si les victimes retardent la communication, le prix du décryptage augmentera et dans les 4 jours suivant l'inaction, les victimes ne pourront plus utiliser les services de décryptage des cybercriminels. Enfin, les cyber-escrocs mettent en garde les victimes contre l'utilisation d'outils de décryptage tiers en supposant qu'il existe un risque de les endommager et donc de perdre la possibilité de les décrypter un jour.

STOP Ransomware (Djvu Ransomware) est officiellement le virus de chiffrement le plus courant au monde. Le chiffreur fonctionne selon le schéma classique : il chiffre les fichiers, leur ajoute une nouvelle extension et place une demande de rançon sur la machine infectée. Plus de 50 % des ordinateurs infectés par un ransomware sont infectés par STOP Ransomware. Il a un deuxième nom - ⁣Djvu Ransomware, après l'extension .djvu, qui a été ajouté aux fichiers sur les premiers ordinateurs infectés. Avec plusieurs modifications mineures et majeures, le virus continue son activité dévastatrice de nos jours. Une variante récente de malware (Kifr Rançongiciel paru en avril 2023) ajoute .kifr extension aux fichiers. Kifr Ransomware crypte les fichiers des victimes à l'aide de l'algorithme de cryptage AES. AES (Advanced Encryption Standard) est un algorithme de chiffrement symétrique largement utilisé, considéré comme sûr et utilisé pour protéger les données sensibles dans de nombreuses applications. Le chiffrement AES utilise une clé secrète pour chiffrer et déchiffrer les données, et la force du chiffrement dépend de la longueur de la clé utilisée. Bien sûr, les fichiers affectés deviennent inaccessibles sans un "décrypteur" spécial, qui doit être acheté auprès de pirates.

Nitz Ransomware est une grande famille de virus de chiffrement avec plus d'un an d'histoire. Il a subi de multiples modifications visuelles et techniques au cours du temps. Cet article décrira les propriétés particulières des dernières versions de ce malware. Depuis début avril 2023, STOP Ransomware a commencé à ajouter les extensions suivantes aux fichiers cryptés: .nitz. Et après le nom de l'extension, elle s'appelle "Nitz Ransomware". Le virus modifie le fichier "hosts" pour bloquer les mises à jour Windows, les programmes antivirus et les sites liés à l'actualité de la sécurité. Le processus d'infection ressemble également à l'installation de mises à jour Windows, le logiciel malveillant génère une fausse fenêtre et une barre de progression pour cela. Cette version de STOP Ransomware utilise désormais les adresses e-mail suivantes : support@freshmail.top ainsi que datarestorehelp@airmail.cc. STOP Ransomware crée un fichier de note de rançon _readme.txt.

Si vous avez atterri sur cet article, vous avez très probablement été touché par Niwm Ransomware, qui a chiffré vos fichiers et modifié leurs extensions pour .niwm. Le nom Niwm n'est donné à ce malware que pour aider les utilisateurs à trouver la solution de suppression et de déchiffrement, et selon le suffixe qu'il ajoute. En fait, ce n'est que la 681-ème version de STOP Ransomware (appelé quelques fois Djvu Ransomware), qui est actif depuis plus de 5 ans et est devenu l'une des familles de ransomwares les plus répandues. Niwm est sorti dans les premiers jours d'avril 2023. Malheureusement, il y a maintenant peu de chances de décryptage à 100 % car il utilise des algorithmes de cryptage puissants, cependant, avec les instructions ci-dessous, vous pourrez récupérer certains fichiers. utilise la combinaison des algorithmes de chiffrement RSA et AES pour chiffrer les fichiers de la victime. L'algorithme RSA est utilisé pour chiffrer la clé AES, et l'algorithme AES est utilisé pour chiffrer les fichiers de la victime. La clé AES est générée aléatoirement pour chaque victime et est stockée sur le serveur de l'attaquant. Mais vous devez d'abord supprimer les fichiers de ransomware et tuer ses processus. Vous trouverez ci-dessous un exemple de note de rançon Niwm Ransomware, qu'il laisse sur le bureau (_readme.txt). C'est assez typique et reste presque le même avec des modifications mineures depuis plusieurs années.